问题描述

AD域网络环境中的客户端主机无法访问阿里云内网服务，例如NTP、KMS和WSUS等服务。

以无法访问阿里云内网的Windows实例更新服务器（update.cloud.aliyuncs.com）为例，在客户端主机上执行ping update.cloud.aliyuncs.com命令检查网络，回显示例如下：

问题原因

在部署DC（Domain Controller）域控制器时，通常会将AD域服务和DNS（Domain Name Server）服务部署在同一台ECS实例上，而客户端主机则会将首选DNS服务器地址设置为DC所在实例的IP地址。若DC上部署的DNS服务器不能解析阿里云的内网服务网络，则会造成整个AD域环境下的客户端主机都无法访问阿里云的内网服务，例如NTP、KMS和WSUS等服务。

解决方案

方案一：在DC所在实例的DNS转发器策略中添加阿里云内网DNS服务器IP地址

如果您需要访问较多的阿里云内网服务，则您可以执行如下操作步骤解决该问题。

1. 远程连接DC所在实例。

   具体操作，请参见连接方式概述。

2. 查看DNS配置信息。

   1. 在桌面左下角，选择 > 控制面板。

   2. 单击网络和Internet，然后单击网络和共享中心。

   3. 单击以太网。

   4. 查看DC的首选DNS服务器的IP地址。

      说明

      首选DNS服务器的IP地址为127.0.0.1，表示DNS解析地址指向本机的IP地址，此时，所有的DNS解析都需要到DNS的转发器页签中配置。

      

3. 在DNS的转发器配置中添加阿里云内网DNS服务的IP地址。

   1. 在桌面左下角，选择 > 服务器管理器。

   2. 在服务器管理器页面右上角，选择工具 > DNS。

   3. 在DNS管理器页面，右键单击目标DNS服务器，然后单击属性。

   4. 单击转发器页签，然后单击编辑。

   5. 在编辑转发器对话框，添加阿里云内网DNS服务的IP地址。

      重要

      转发器中至少需要保留一个阿里云内网DNS服务地址，否则您将不能正常访问阿里云内网域名。阿里云内网DNS服务地址为100.100.2.136和100.100.2.138。

      

   6. 单击确定。

4. 打开CMD命令提示符。

   1. 在桌面左下角，单击图标。

   2. 在右上角搜索框输入cmd，然后单击命令提示符。

      进入CMD命令提示符。

5. 执行ipconfig /flushdns命令，刷新DNS缓存信息。

6. 在不能访问阿里云内网服务的客户端主机上，执行ping 目标阿里云内网服务域名命令，测试阿里云内网服务网络访问是否正常。

   以执行ping update.cloud.aliyuncs.com命令为例，如图所示，成功解析到域名对应的IP地址，即表示网络访问正常。

方案二：在客户端主机的host文件中添加目标阿里云内网服务域名解析记录

如果您只需要访问较少的阿里云内网服务，则您可以执行如下操作步骤解决该问题。

1. 登录任意一台能正常访问目标阿里云内网服务的主机。

   在主机上执行ping 目标阿里云内网服务域名命令，获取该阿里云内网服务域名对应的IP地址。以获取update.cloud.aliyuncs.com域名对应IP地址为例，如图所示。

2. 登录不能访问阿里云内网服务的AD域环境中的客户端主机。

3. 打开hosts文件。

   以hosts文件所在目录为C:\Windows\System32\drivers\etc为例，如图所示。

4. 在hosts文件中，添加该阿里云内网服务域名对应的IP地址的解析记录。

   以添加update.cloud.aliyuncs.com域名解析记录为例，如图所示。

   

5. 打开CMD命令提示符。

   1. 在桌面左下角，单击图标。

   2. 在右上角搜索框输入cmd，然后单击命令提示符。

      进入CMD命令提示符。

6. 执行ipconfig /flushdns命令，刷新DNS缓存信息。

7. 在不能访问阿里云内网服务的客户端主机上，执行ping 目标阿里云内网服务域名命令，测试阿里云内网服务网络访问是否正常。

   以执行ping update.cloud.aliyuncs.com命令为例，如图所示，成功解析到域名对应的IP地址，即表示网络访问正常。